Je voudrais utiliser une clé primaire sécurisée cryptographiquement pour les données sensibles dans une firebase database – cela ne peut pas être deviné / prévisible et ne peut pas être généré par la firebase database (j’ai besoin de la clé avant que l’object soit persisté). Je comprends que Java utilise un UUID de type 4 […]
Notre site est intégré en tant qu’iframe dans un autre site qui s’exécute sur un domaine différent. Il semble que nous ne pouvons pas configurer les cookies. Quelqu’un a-t-il déjà rencontré ce problème? Des idées?
Supposons que vous ayez la liberté de décider comment les mots de passe hachés devaient être stockés dans un SGBD. Y a-t-il des faiblesses évidentes dans un schéma comme celui-ci? Pour créer la valeur de hachage stockée dans le SGBD, procédez comme suit: Une valeur unique à l’instance du serveur de SGBD faisant partie du […]
Je dois écrire un service Windows qui traite à certains moments des données confidentielles (telles que des codes PIN, des mots de passe, etc.). Ces informations sont nécessaires pour une très courte durée: elles sont généralement envoyées presque immédiatement à un lecteur de carte à puce. Considérons ce morceau de code: { std::ssortingng password = […]
Après quelques tests, je commence à conclure qu’un navigateur n’envoie pas d’en-tête HTTP Referer lorsque l’on clique sur une page http à partir d’une page https. Quelle est la raison de la sécurité pour cela? Est-ce que est défini quelque part dans la norme?
J’ai un site Web asp.net avec ce que nous avons un espace d’administration avec la page de connexion pour admin seulement et tout le site est autorisé pour tous – je dois demander comment définir la configuration de sécurité appropriée pour lui que je reçois cette erreur Vous ne pouvez pas utiliser un indicateur .. […]
J’utilise l’atsortingbut Authorize comme ceci: [Authorize (Roles=”Admin, User”)] Public ActionResult Index(int id) { // blah } Lorsqu’un utilisateur ne se trouve pas dans les rôles spécifiés, je reçois une page d’erreur (ressource non trouvée). J’ai donc mis l’atsortingbut HandleError également. [Authorize (Roles=”Admin, User”), HandleError] Public ActionResult Index(int id) { // blah } Maintenant, il va […]
Je dois parsingr les fichiers .PEM. Je sais que la norme pour le “courrier électronique à confidentialité améliorée” est définie dans les RFC 1421-24. Mais ils ne semblent pas mentionner un texte que je trouve à l’intérieur des fichiers OpenSSL .pem (par exemple “Atsortingbuts clés”, “CERTIFICAT DE BEGIN”, etc.) S’agit-il d’un format spécifique à OpenSSL?
Je comprends le but d’un IV. Plus précisément, en mode CBC, ceci garantit que le premier bloc de 2 messages chiffrés avec la même clé ne sera jamais identique. Mais pourquoi est-ce une vulnérabilité si les IV sont séquentiels? Selon CWE-329, NON-Random IV permet la possibilité d’une attaque par dictionnaire. Je sais que, dans la […]
Excuses si cela a déjà été demandé et répondu; J’ai regardé autour de moi mais je n’ai pas trouvé exactement ce que je demande. – Supposons que mon application Web sur http://example.com/ utilise une API Web privée et non documentée sur http://api.example.com/ pour récupérer des données, par exemple via XHR ou JSONP. Supposons également que […]